思科修复FXOS, UCS Manager和NX-OS软件中的漏洞

近日，思科为其产品中的11个漏洞发布了安全补丁，包括思科UCS Manager、FXOS（Firepower操作系统）和NX-OS软件。

其中最严重的漏洞会影响FXOS和NX-OS软件，未经身份验证的攻击者可以利用这些漏洞以root权限执行任意代码。

同时该漏洞也可能会触发DoS服务。

思科在发布的报告中表示：“所有六个漏洞的安全影响评级都很高。成功地利用漏洞可以使攻击者获得更高的权限，执行任意命令或者对受影响的设备进行DoS攻击。”

“两个漏洞只影响思科NX-OS软件；一个漏洞只影响思科UCS软件；两个漏洞影响思科FXOS软件和思科UCS软件；一个漏洞影响了Cisco FX-OS软件、Cisco NX-OS软件和UCS软件。”

第一个漏洞被标记为是CVE-2020-3172，它是由于Cisco Discovery协议数据包的报头缺乏足够的验证而引起的。攻击者可以利用这个漏洞将一个精心设计的数据包发送到第二层邻近的脆弱设备，并触发缓冲区溢出来执行任意代码或进行DoS攻击。

该漏洞影响了默认启用发现协议的多个设备，包括Nexus、Firepower、UCS和MDS。

这个IT巨头还修复了UCS Manager软件（CVE-2020-3173)中的一个严重漏洞，可以被经过身份验证的本地攻击者利用，在操作系统上执行任意命令。这主要影响了UCS 6200、6300和6400系列的Series Fabric Interconnect。

思科还解决了NX-OS软件中针对MDS 9000系列多层交换机的另一个高风险DoS漏洞，编号为CVE-2020-3175，它也可被远程未经身份验证的攻击者所利用。

这家科技巨头解决的其他严重漏洞还有：

• VMware vSphere版本Nexus 1000V交换机的安全登录增强功能中存在一个DoS漏洞，被标记为CVE-2020-3168，它可被未经身份验证的远程攻击者利用，导致一个Nexus 1000V虚拟管理模块（VSM）无法访问。

• FXOS软件还存在一个CLI命令注入漏洞，CVE-2020-3167，可以被经过身份验证的本地攻击者利用来执行任意命令。这主要影响到Firepower和UCS产品。

• 在UCS管理器软件中也有一个CLI命令注入漏洞，CVE-2020-3171，可以被经过认证的本地攻击者利用来执行任意命令。主要影响到Firepower和UCS产品。

该公司还解决了NX-OS软件中三个中等严重程度的漏洞，分别是CVE-2020-3165、CVE-2020-3174、CVE-2020-3170，以及FXOS软件中另外两个中等严重程度的漏洞，分别是CVE-2020-3166和CVE-2020-3169。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/98620/hacking/cisco-flaws-fxos-ucs-nx-os.html